Page 3 sur 4

Re: zombies news

Posté : mar. 27 janv. 2015 21:45
par gilles01
Bonjour (ou bonsoir),

Voici le rapport demandé
http://up.security-x.fr/file.php?h=R568 ... a5a0940293

Bonne réception

Gilles

Re: zombies news

Posté : mer. 28 janv. 2015 08:47
par chantal11
Bonjour,

OK pour le rapport.

Comment se comporte le système ?

@+

Re: zombies news

Posté : ven. 30 janv. 2015 14:29
par gilles01
Bonjour Chantal,

Tout allait un peu mieux jusqu'à ce matin. L'ordi s'est remis à ramer, j'ai fait l'analyse anti malware, il y avait des popup dans tous les sens, un programme youtube installé et que j'ai eu toutes les peines du monde à désinstaller. j'ai fait du nettoyage mais, une fois un programme ouvert (page web, panneau de config, etc...) le sablier se met à tourner sans savoir pourquoi.
J'ai un rapport FRST et un malware d'aujourd'hui, si ça t'intéresse.

Merci encore et bonne fin de journée

Gilles

Re: zombies news

Posté : ven. 30 janv. 2015 15:39
par chantal11
Bonjour,
J'ai un rapport FRST et un malware d'aujourd'hui, si ça t'intéresse.
Oui, poste les rapports FRST.txt, Addition.txt et Malwarebytes.


Mais, comme c'ets certain que tu as encore installé des adwares, il faudrait vraiment que tu sois plus vigilant !
Un jour, c'est une infection plus coriace qui va s'installer, avec risque de perte de données, vol de données ou blocage du système.

@+

Re: zombies news

Posté : ven. 30 janv. 2015 17:25
par gilles01
Voici les liens pour les rapports :
http://up.security-x.fr/file.php?h=R11d ... 2d1c9c6389
http://up.security-x.fr/file.php?h=R11d ... 2d1c9c6389
http://up.security-x.fr/file.php?h=R11d ... 2d1c9c6389

Ou peut-on "ramasser" toutes ces cochonneries ? Ma femme va beaucoup sur des sites commerciaux, est-ce qu'ils peuvent être en cause ?
j'attends ton avis

Merci et à bientôt

Gilles

Re: zombies news

Posté : ven. 30 janv. 2015 17:42
par chantal11
Re,

J'ai 3 fois le rapport FRST.txt, il me manque donc les rapports décents Addition.txt et Malwarebytes.
Ma femme va beaucoup sur des sites commerciaux, est-ce qu'ils peuvent être en cause ?
Qu'est-ce que tu entends par sites commerciaux ?
Tu as quelques exemples ?

@+

Re: zombies news

Posté : ven. 30 janv. 2015 21:36
par gilles01
Désolé, j'espère que cette fois-ci c'est bon

http://up.security-x.fr/file.php?h=Rb98 ... 22bef544a2
http://up.security-x.fr/file.php?h=Rfa5 ... a274ff5c28

Pour les sites commerciaux, c'est des sites sur lesquels elle va chercher des réductions, promotions, etc...

Merci et bonne nuit

Gilles

Re: zombies news

Posté : sam. 31 janv. 2015 08:51
par chantal11
Bonjour,

Tu as vu la longueur des rapports pour un système qui vient juste d'être désinfecté ?
Si vous n'êtes pas plus prudents sur le net, on ne s'en sortira pas.

A partir de maintenant, le système ne doit plus être utilisé, hormis pour les procédures que j'indique, jusqu'à ce que la désinfection soit complètement terminée.

--------------------------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

YouTube Accelerator

Si un programme ne veut pas se désinstaller, tu passes au suivant.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :
  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-287015425-813974205-1193642550-1002\...\Run: [GOOBZOYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2015-01-30] (GOOBZO)
    HKU\S-1-5-18\...\Run: [GoobzoYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2015-01-30] (GOOBZO)
    GroupPolicy: Group Policy on Chrome detected
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction
    ProxyEnable: [S-1-5-21-287015425-813974205-1193642550-1002] => Internet Explorer proxy is enabled.
    HKU\S-1-5-21-287015425-813974205-1193642550-1002\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppp
    SearchScopes: HKU\.DEFAULT -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_s ... earchTerms}
    SearchScopes: HKU\.DEFAULT -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_s ... earchTerms}
    SearchScopes: HKU\.DEFAULT -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_s ... earchTerms}
    SearchScopes: HKU\.DEFAULT -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_s ... earchTerms}
    SearchScopes: HKU\S-1-5-21-287015425-813974205-1193642550-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = web/?type=dspp&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-287015425-813974205-1193642550-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = web/?type=dspp&q={searchTerms}
    Winsock: Catalog9 01 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 02 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 03 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 04 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 05 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 06 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 07 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 08 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 09 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 10 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 11 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    Winsock: Catalog9 23 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll [177512] (GOOBZO)
    FF DefaultSearchEngine: mystartsearch
    FF SelectedSearchEngine: mystartsearch
    FF Homepage: ?type=hppp
    FF user.js: detected! => C:\Users\gilles\AppData\Roaming\Mozilla\Firefox\Profiles\o9zyiqs0.default\user.js
    FF Extension: Youtube Accelerator Helper - C:\Users\gilles\AppData\Roaming\Mozilla\Firefox\Profiles\o9zyiqs0.default\Extensions\{4C59F3E5-BBD0-4344-8DD2-30866FA0B31E} [2015-01-30]
    FF Extension: SourceApp 1.0.1 - C:\Users\gilles\AppData\Roaming\Mozilla\Firefox\Profiles\o9zyiqs0.default\Extensions\{8dc666b5-f370-4f22-8558-6a137d48eead}.xpi [2015-01-30]
    FF Extension: No Name - C:\Users\gilles\AppData\Roaming\Mozilla\Firefox\Profiles\o9zyiqs0.default\extensions\fftoolbar2014@etech.com [Not Found]
    FF Extension: No Name - C:\Users\gilles\AppData\Roaming\Mozilla\Firefox\Profiles\o9zyiqs0.default\extensions\faststartff@gmail.com [Not Found]
    FF Extension: No Name - C:\Users\gilles\AppData\Roaming\Mozilla\Firefox\Profiles\o9zyiqs0.default\extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [Not Found]
    CHR HomePage: Default -> ?type=hppp
    CHR StartupUrls: Default -> "?type=hppp"
    R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-01-30] (GOOBZO)
    2015-01-30 06:14 - 2015-01-30 14:42 - 00000000 ____D () C:\ProgramData\YTAHelper
    2015-01-30 06:14 - 2015-01-30 06:14 - 00000000 ____D () C:\Users\Public\Documents\YTAHelper
    2015-01-30 06:14 - 2015-01-30 06:14 - 00000000 ____D () C:\Program Files (x86)\YTAHelper
    2015-01-30 06:13 - 2015-01-30 06:13 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
    2015-01-30 06:13 - 2015-01-30 06:13 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO
    2015-01-30 06:12 - 2015-01-30 14:09 - 00000000 ____D () C:\Program Files (x86)\YouTube Accelerator
    2015-01-30 06:12 - 2015-01-30 06:12 - 00172032 _____ (Jin Hui E-mail: jinhui@jcomsoft.com Web: http://www.jcomsoft.com) C:\WINDOWS\SysWOW64\AniGIF.ocx
    2015-01-30 06:12 - 2015-01-30 06:12 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
    2015-01-30 06:11 - 2015-01-30 06:11 - 00000000 ____D () C:\Users\gilles\AppData\Local\CrashRpt
    2015-01-30 06:09 - 2015-01-30 14:50 - 00000000 ____D () C:\Users\gilles\AppData\Roaming\WTools
    2015-01-30 06:08 - 2015-01-30 14:45 - 00000000 ____D () C:\Users\gilles\AppData\Roaming\Store
    2015-01-30 06:03 - 2015-01-30 13:47 - 00000000 ____D () C:\Program Files (x86)\Ainishare
    2015-01-30 06:03 - 2015-01-30 06:03 - 00000000 ____D () C:\WINDOWS\Download
    cmd: netsh winsock reset
    EmptyTemp:
    end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST64.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix Image et patiente le temps de la correction
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Scanner :
  • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scanner
  • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
  • Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).txt
Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
AdwCleaner-Scanner


@+

Re: zombies news

Posté : sam. 31 janv. 2015 17:12
par gilles01

Re: zombies news

Posté : sam. 31 janv. 2015 18:02
par chantal11
Re,

OK pour le rapport AdwCleaner, mais pour le correctif, tu as posté un rapport FRST, ce n'ets pas le rapport que j'attends.

En attente donc du rapport Fixlog obtenu après l'application du correctif FRST.

@+